Società Banca Mediolanum Posizione Cybersecurity Governance Expert Responsabilità primarie Banca Mediolanum è un'organizzazione che ridefinisce il panorama finanziario con oltre tre decenni di innovazione. Attraverso le società che ne fanno parte, si dedica a fornire servizi finanziari, bancari e assicurativi su misura che rispondano alle esigenze uniche di ogni cliente. La Banca si impegna a costruire relazioni durature basate sulla fiducia, trasparenza e sull'attenzione ai dettagli. La nostra è una realtà dinamica, fondata su relazioni, responsabilità e libertà. La cultura promuove positività, responsabilità e innovazione sostenibile. Siamo convinti che il successo di un'azienda sia il risultato del successo individuale dei suoi membri. In Gruppo Mediolanum ti offriamo più di un lavoro: l'opportunità di contribuire a un cambiamento positivo e di crescere insieme a noi. Siamo alla ricerca di una figura di Cybersecurity Governance Expert, coinvolta nelle seguenti attività: Definizione e aggiornamento delle politiche di Information Security Monitoraggio dell'attuazione della strategia e delle policy di sicurezza del Gruppo e delle società controllate Conduzione di cybersecurity assessment e predisposizione della relativa documentazione di compliance Analisi dei rischi emergenti, nuovi requisiti normativi e iniziative di sicurezza intersettoriali e nazionali Attività di gap analysis e assessment rispetto a standard e baseline definite Supporto ai progetti di assurance per la verifica delle misure di sicurezza e l'identificazione di azioni correttive Valutazione della sicurezza dei fornitori (third party risk assessment) Sviluppo di programmi di cyber awareness per utenti tecnici e non tecnici, monitoraggio dell'efficacia formativa tramite KPI specifici (es. test di phishing), creazione di cruscotti e report con metriche di sicurezza (KPI/KRI) Profilo competenze Requisiti Esperienza tra i 5-7 anni maturata in ambito ICT & Security Governance o ICT Risk Laurea in informatica/ingegneria o equivalenti Conoscenza dei framework (es. ISO 27001, NIST, ITIL, COBIT, PCI, ecc.) e delle normative di riferimento (es. Circolare 285, PSD2, GDPR, 262, 231, ecc.), con esperienze in termini di declinazione ed adozione Pregressa esperienza in attività di definizione ed implementazione di metodologie di valutazione dei rischi informatici e di sicurezza Pregressa esperienza in attività di redazione di policy e procedure di sicurezza e ICT, maturity assessment, benchmarking Conoscenza di soluzioni di sicurezza informatica (es. SIEM, Identity & Access Governance, Data Security & Protection, IDS/IPS, Data Masking & Tokenization, ecc.) Ottima conoscenza della lingua inglese Certificazioni in ambito ICT/Security (es. ISO 27001, ITIL, ecc.) Requisiti Tecnici Expertise in Security Architecture: Progettazione e hardening di architetture Zero Trust, SASE, e modelli di micro-segmentazione avanzata (es. VMware NSX, Illumio), Implementazione di sistemi di autenticazione federata (SAML/OAuth 2.0/OpenID Connect) e gestione di PKI/HSM (es. Thales, YubiKey) Offensive/Defensive Security: esperienza diretta in red teaming e exploitation avanzato (es. Active Directory kerberoasting, DNS tunneling, malware senza file) Padronanza di tool per penetration test avanzati: Cobalt Strike, Metasploit Framework, BloodHound, Burp Suite (con estensioni custom) Cloud & Container Security: hardening di ambienti AWS/Azure/GCP, configurazione di CloudTrail, GuardDuty, Azure Sentinel, gestione CSPM (Wiz, Prisma Cloud), sicurezza pipeline CI/CD (SAST/DAST con Checkmarx, Snyk), automazione con IaC (Terraform, CloudFormation), sicurezza Kubernetes (policy OPA/Gatekeeper, Falco, gestione secrets con HashiCorp Vault) Threat Intelligence & Analytics: creazione di threat hunting basati su MITRE ATT&CK, analisi TTPs con MISP o Anomali, configurazione di SIEM avanzati (Splunk ES, Elastic Security), regole di correlazione personalizzate (Sigma rules) Tool e Tecnologie Obbligatorie: OS & Network (Kali Linux, SELinux/AppArmor, Snort/Suricata, Zeek), Crittografia (schemi post-quantum come CRYSTALS-Kyber), HSM (Thales, AWS CloudHSM), scripting avanzato in Python/Bash, API REST, Kubernetes RBAC, service mesh (Istio, Linkerd), scanner di immagini (Trivy, Clair) Certificazioni Avanzate Richieste: Offensive Security (OSCP, OSCE, CRTO), Cloud Security (CCSK, AWS Certified Security - Specialty, Azure Security Engineer), Architettura (SABSA, GDSA), Compliance (ISO 27001 Lead Auditor, CISSP-ISSAP, CISM) Niceto have Contributi a progetti open-source di sicurezza (es. OWASP, Sigstore) Conoscenza di firmware security (UEFI Secure Boot, TPM 2.0) e ambienti ICS/SCADA Almeno 2 audit di compliance su infrastrutture ibride (on-premise multi-cloud) Sviluppo di policy tecniche per la gestione di segreti e autenticazione MFA (FIDO2/WebAuthn) Sede di lavoro Basiglio - Milano 3 City; possibilità di parziale Smart Working. I dati richiesti verranno trattati nel rispetto del Regolamento Europeo 679/2016 (GDPR). È possibile consultare l'informativa privacy di Banca Mediolanum al link: https://www.bancamediolanum.it/privacy/candidature. Il Gruppo Mediolanum si impegna a garantire parità di trattamento a tutti i candidati secondo i principi di Diversity and Inclusion. J-18808-Ljbffr